Posté le février 16, 2021 à 11:28
LES HACKERS DE SANDWORM ONT ÉTÉ DÉCOUVERTS EN TRAIN D’EXPLOITER LES SERVEURS CENTREON
Les célèbres hackers militaires russes Sandworm ont été réprimandés par les autorités françaises pour avoir exploité l’outil de surveillance informatique Centreon.
Selon le rapport, les hackers exploitent cet outil sans être détectés depuis 2017. « La première victime semble avoir été compromise à partir de la fin de 2017 », souligne le rapport.
Sandworm avait déjà été lié à d’autres cas de piratage, notamment les pannes de courant en Ukraine et l’exploitation à l’aide de NotPeva, le logiciel malveillant le plus puissant du monde de la cybercriminalité.
L’Agence française de sécurité de l’information (ANSSI) a fait cette révélation lundi après avoir publié un avis de mise en garde à l’intention des organisations.
L’agence a révélé que les victimes des attaques sont généralement des entreprises informatiques, mais surtout des hébergeurs de sites web.
Bien que le vecteur d’attaque initial ne soit pas encore connu, le logiciel de la société Centreon était lié à la violation des réseaux de la victime.
Centreon a gagné de nombreux clients au fil des ans
L’application a été lancée en 2005 par la société du même nom. Elle compte de nombreux clients, dont PWC Russie, la police néo-zélandaise, le ministère des finances de la justice, Luxottica, Air Caraibes, ainsi qu’Airbus.
Le rapport ne précise pas combien d’organisations ou quelle organisation a été victime du piratage du logiciel.
Mais selon le rapport, les serveurs compromis fonctionnaient avec le système d’exploitation CENTOS. L’agence a déclaré l’avoir découvert sur deux types de logiciels malveillants différents – l’un connu sous le nom d’Exaramel, utilisé auparavant par Sandworm, et l’autre sous le nom de PAS, accessible au public.
Le groupe Sandworm utilise le logiciel malveillant Exaramel depuis 2018 pour diverses attaques, a révélé le rapport.
Le webshell possède des caractéristiques qui lui permettent de mener de nombreuses activités individuellement et simultanément. Il peut exécuter des commandes PHP arbitraires, créer un shell inversé, interagir avec des bases de données SQL, rechercher dans le système de fichiers, gérer des opérations sur les fichiers et effectuer des attaques par force brute de mots de passe contre MySQL, POP3, FTP et SSH.
L’ANSSI a déclaré que la campagne est exécutée par le groupe Sandworm a un objectif similaire à celui de leurs attaques précédentes, ce qui rend évident que le groupe est responsable de cela.
En général, Sandworm est réputé pour mener des campagnes d’intrusion conséquentes avant de se contenter de cibles spécifiques qui correspondent à son intérêt.
Le rapport a également révélé que les acteurs malveillants utilisaient des VPN commerciaux et publics pour communiquer avec des portes dérobées, car il énumère de nombreux fournisseurs et outils légitimes pour aider à l’exploitation.
Pour aider les chercheurs en sécurité à identifier les méthodes d’attaque de Sandworm, l’AANSI a fourni un document contenant les règles YARA et SNORT ainsi que d’autres indicateurs d’infraction.
Les organisations devraient prendre de meilleures mesures de sécurité
En outre, l’agence a donné des conseils aux organisations afin d’améliorer leur sécurité et leur protection contre Sandworm et d’autres groupes APT. Selon l’AANSI, les organisations devraient réduire l’exposition des systèmes de surveillance, améliorer le renforcement des serveurs et la gestion des correctifs.
Les systèmes de surveillance comme Centreon sont toujours la cible des cybercriminels. Par conséquent, ils devraient être étroitement liés au système d’information surveillé afin d’améliorer leur sécurité contre les intrusions.
La recommandation est de ne pas exposer les interfaces web des outils sur Internet ou d’utiliser une authentification non-applicative pour restreindre l’accès.
L’ANSSI a révélé que les acteurs malveillants ont pu réussir leur attaque parce que le système Centreon était connecté à Internet. Pour l’instant, on ne sait pas si les attaquants ont deviné les mots de passe des comptes d’administration ou s’ils ont exploité la vulnérabilité du logiciel Centurion.
Bien qu’il soit clair que les hackers de Sandworm ont pour objectif de rester dans la campagne de piratage française, il y a toujours une alarme chaque fois que Sandworm est impliqué dans une intrusion. Ceci est dû à l’histoire des acteurs malveillants, qui ont utilisé certains des outils les plus sophistiqués pour compromettre les systèmes.
Joe Slowik, un chercheur en sécurité de la société de cybersécurité DomainTools, a déclaré que « Sandworm est impliqué dans des opérations destructrices ».
L’une des attaques les plus notoires de Sandworm a été l’attaque par le ver NotPetya, qui a fait perdre 10 milliards de dollars à des organisations.
